Las claves de acceso son un método de autenticación multifactor (MFA) resistente al phishing que puede usarse como factor de autenticación independiente o junto con contraseñas en implementaciones híbridas. Cuando se usa una clave de acceso, la autenticación está vinculada al sitio web legítimo y se basa en pruebas criptográficas, en lugar de códigos de verificación de un solo uso que deben ingresarse o aprobarse manualmente. Estas preguntas frecuentes explican por qué y cómo las claves de acceso son más seguras que los códigos SMS, las aplicaciones de autenticación y las notificaciones push.
¿Las claves de acceso pueden funcionar sin contraseñas?
Sí. Las claves de acceso pueden funcionar como una solución completa de autenticación en implementaciones sin contraseña porque son inherentemente multifactor. Requieren la posesión del dispositivo, además de verificación biométrica o con PIN. Las organizaciones también pueden usar claves de acceso como un factor de autenticación adicional junto con contraseñas, lo que brinda a los equipos flexibilidad para elegir el enfoque que se ajuste a sus políticas de seguridad y flujos de trabajo de los usuarios.
¿Qué hace que las claves de acceso sean una autenticación multifactor “resistente al phishing”?
Las claves de acceso son criptográficamente seguras y usan cifrado avanzado y funciones matemáticas para que no se puedan adivinar y sean casi imposibles de obtener mediante phishing, lo que las convierte en una forma de autenticación multifactor resistente al phishing. Tres propiedades definen esta clase de MFA.
Vinculación al origen El autenticador verifica el sitio web o la aplicación que solicita el inicio de sesión y solo responde cuando el dominio es legítimo (consulta Cómo funcionan las claves de acceso). Esto evita que sitios similares activen un inicio de sesión válido.
Desafío-respuesta Cada inicio de sesión usa un desafío único y de corta duración generado por el servicio. El autenticador firma este desafío con una clave privada. No hay información reutilizable que un atacante pueda capturar y reenviar al sitio real (ataque de retransmisión) o guardar para intentar usarla más tarde (ataque de repetición).
Sin secretos compartidos La clave privada permanece en el dispositivo del usuario y nunca se transmite durante la autenticación. El servicio o sitio web almacena solo una clave pública, que no puede usarse para generar un inicio de sesión válido ni suplantar al usuario.
Para obtener más contexto sobre cómo está cambiando la autenticación en las empresas, consulta la adopción de la autenticación sin contraseña.
Por qué otros métodos son menos seguros
Las claves de acceso cumplen con los tres requisitos de MFA resistente al phishing. Vinculan la autenticación al dominio real, responden solo a desafíos generados por el servidor y nunca exponen un secreto compartido.
En comparación, los métodos comunes de autenticación multifactor pueden interceptarse o retransmitirse:
Códigos SMS pueden robarse mediante malware, cambios de SIM fraudulentos o kits de retransmisión en tiempo real.
TOTP de aplicaciones de autenticación son temporales, pero aun así pueden reutilizarse durante un breve período y capturarse mediante sitios web falsificados.
Aprobaciones push son vulnerables a ataques de solicitudes repetidas (también conocidos como bombardeo de 2FA), en los que los usuarios aprueban una solicitud por confusión o cansancio.
Las claves de acceso cumplen con los criterios de MFA resistente al phishing de NIST, Microsoft y otros proveedores importantes.
Ejemplos de MFA resistente al phishing
Kits de retransmisión de autenticación multifactor en tiempo real Los kits de retransmisión crean un proxy entre los usuarios y páginas de inicio de sesión falsas, capturan contraseñas y códigos de un solo uso, y los reenvían al sitio real. Las claves de acceso evitan este ataque porque no existe ningún código reutilizable y el desafío firmado no puede reutilizarse.
Trampas de dominios similares Los atacantes registran dominios que se parecen mucho a sitios web legítimos y dirigen a las víctimas para que ingresen sus credenciales. Un ejemplo reciente fue “rnicrosoft.com vs. microsoft.com”; observa que la r y la n se parecen a una m. Las claves de acceso no responden a orígenes que no coinciden, por lo que el dominio fraudulento no puede generar una solicitud de autenticación válida.
Fatiga de autenticación multifactor y bombardeo push La MFA basada en push depende de la aprobación humana. Los atacantes abruman a los usuarios con solicitudes repetidas hasta que aceptan una por error. Las claves de acceso eliminan este vector por completo porque el flujo de autenticación no incluye acciones de “aprobar” o “denegar”.
Para obtener información sobre cómo fortalecer la visibilidad de la autenticación en toda tu organización, revisa la descripción general de Bitwarden Access Intelligence.
Si estás explorando opciones de inicio de sesión entre dispositivos, consulta Cómo iniciar sesión con otro dispositivo.
Si estás explorando opciones de inicio de sesión entre dispositivos, consulta Cómo iniciar sesión con otro dispositivo.